Wireshark, ağ güvenliği uzmanları ve sistem yöneticileri için en güçlü ve yaygın kullanılan araçlardan biridir. Gerçek zamanlı ağ trafiğini analiz etmek, sorunları çözmek, güvenlik açıklarını tespit etmek ve ağ performansını izlemek için son derece etkili bir araçtır. Bu blog yazısında, Wireshark kullanarak ağ trafiği analizinin temel prensiplerini ve farklı kullanım senaryolarını inceleyeceğiz.
Wireshark, ağdaki tüm veri paketlerini yakalayarak detaylı analiz yapmanıza olanak tanır. Özellikle siber güvenlik profesyonelleri için, ağ trafiği içinde gizli kalmış potansiyel tehditleri tespit etmek büyük önem taşır. Wireshark ile ağın sağlıklı bir şekilde çalışıp çalışmadığını, hangi cihazların ağınıza bağlı olduğunu ve ağınızdaki olası saldırı girişimlerini öğrenebilirsiniz. Bu yazının ilerleyen bölümlerinde, Wireshark’ta temel filtreleme tekniklerinden, saldırı tespitine kadar birçok konuyu detaylandıracağız. Wireshark’ı etkin bir şekilde kullanabilmek için temel bilgi ve pratik gereklidir, bu yüzden öncelikle temel filtreleme tekniklerine odaklanalım.
Temel Filtreleme Teknikleri
Wireshark, ağ trafiğini analiz ederken genellikle milyonlarca veri paketiyle karşılaşırsınız. Bu kadar büyük bir veri yığınını anlamak ve doğru sonuçlara ulaşmak için filtreleme teknikleri oldukça önemlidir. Wireshark, çeşitli filtreleme seçenekleri sunarak yalnızca ilgilendiğiniz verilere odaklanmanıza imkan tanır. Filtreleme, ağ trafiği analizini çok daha verimli hale getirir ve size yalnızca anlamlı verileri sunar.
Wireshark’ta iki ana filtreleme türü vardır: Yakalama Filtreleri ve Görüntüleme Filtreleri. Bu filtrelerin her biri, farklı aşamalarda kullanılabilir ve ağ trafiğini daraltarak hızlıca analiz yapmanızı sağlar.
- Yakalama Filtreleri: Ağ trafiği analizine başlamadan önce, sadece ilgilendiğiniz veri paketlerini yakalamak için kullanılan filtrelerdir. Wireshark’a belirli bir IP adresi, port veya protokol ile ilgili trafiği yakalamasını söyleyebilirsiniz. Yakalama filtreleri, Wireshark’ın veriyi toplarken sadece seçilen kriterlere göre veri toplamasını sağlar, böylece analiz sırasında gereksiz veri yükünden kaçınılır.
- Görüntüleme Filtreleri: Ağ trafiği toplandıktan sonra, yalnızca belirli kriterlere uyan veri paketlerini görüntülemek için kullanılan filtrelerdir. Görüntüleme filtreleri, yakalanan trafiği daha hızlı analiz etmenizi sağlar. Burada, IP adresine göre, protokollere göre ya da belirli veri paketlerinin içerikleriyle filtreleme yapabilirsiniz. Bu filtreler, çok daha detaylı ve spesifik analizler yapmanıza olanak tanır.
Wireshark’ta filtreleme yapmak, herhangi bir ağ trafiği analizi için temel bir beceridir. Şimdi, IP, Port, Protokol Tabanlı Filtreler hakkında daha detaylı bir şekilde konuşalım.
IP, Port, Protokol Tabanlı Filtreler
Wireshark, ağ trafiğini analiz ederken, belirli veri paketlerini izole etmek için IP adresi, port numarası ve protokol gibi parametrelere dayalı filtreler kullanabilirsiniz. Bu filtreler, ağdaki belirli cihazlar arasındaki iletişimi izleyebilmenizi sağlar. İlgili veri paketlerini hızla bulmak için bu tür filtreleme tekniklerini kullanmak oldukça faydalıdır.
- IP Tabanlı Filtreler:
IP tabanlı filtreler, belirli bir cihazın trafiğini izlemek için kullanılır. Bir IP adresi üzerinden ağ trafiğini filtrelemek, belirli bir cihazın veya ağın davranışını analiz etmek için ideal bir yöntemdir. Wireshark’ta belirli bir IP adresine odaklanarak, sadece o cihazın gönderdiği veya aldığı veri paketlerini görüntüleyebilirsiniz. IP tabanlı filtreleme şu şekilde yapılır:
Tek bir IP adresine göre filtreleme:
ip.addr == 192.168.1.1
Bu filtre, hem kaynak hem de hedef IP adresi 192.168.1.1 olan tüm paketleri gösterir.
Belirli bir kaynağa veya hedefe göre filtreleme:
ip.src == 192.168.1.1
ip.dst == 192.168.1.1
ip.src kaynağa, ip.dst ise hedefe odaklanır. Bu filtrelerle yalnızca belirli bir kaynaktan ya da hedefe yapılan trafiği görüntüleyebilirsiniz.
- Port Tabanlı Filtreler:
Port numaraları, ağdaki belirli uygulamaların veya servislerin iletişim sağladığı kanallardır. Wireshark’ta port numarası tabanlı filtreler kullanarak, sadece belirli bir port üzerinden geçen trafiği inceleyebilirsiniz. Portlar genellikle belirli protokollerle ilişkilidir; örneğin, HTTP trafiği için 80 numaralı port, HTTPS trafiği için ise 443 numaralı port kullanılır.
Belirli bir port numarasına göre filtreleme:
tcp.port == 80 Bu filtre, TCP protokolü üzerinden 80 numaralı portu kullanan tüm veri paketlerini gösterir.
Kaynak veya hedef port numarasına göre filtreleme:
tcp.srcport == 80
tcp.dstport == 443
Bu filtreler, sırasıyla kaynak veya hedef port numarasına göre trafiği izler.
- Protokol Tabanlı Filtreler:
Wireshark, farklı ağ protokollerini analiz etmek için protokol tabanlı filtreleme de sunar. Ağ trafiğinde birçok farklı protokol kullanılır, ve her biri belirli türde verileri taşır. TCP, UDP, ICMP gibi protokoller, ağ trafiği içinde yaygın olarak yer alır. Protokol tabanlı filtrelerle, yalnızca belirli bir protokol üzerinden geçen veri paketlerine odaklanabilirsiniz.
TCP trafiğini izlemek: tcp
Bu filtre, yalnızca TCP protokolüne ait veri paketlerini gösterir.
UDP trafiğini izlemek: udp
UDP protokolüne ait tüm paketler bu filtreyle izlenebilir.
ICMP trafiğini izlemek: icmp
ICMP protokolüne ait paketleri incelemek için bu filtre kullanılabilir. Bu filtreleme teknikleri, ağ trafiği analizi sırasında size büyük kolaylık sağlar. Özellikle büyük veri setlerinde yalnızca ilginç ve önemli bilgileri görmek için bu filtreler vazgeçilmezdir.
Saldırı Tespiti İçin Kullanım
Ağ güvenliği, her geçen gün daha kritik hale gelmektedir. Saldırı tespiti, güvenlik uzmanlarının ağ üzerinde gerçekleşebilecek potansiyel tehditleri önceden tespit etmelerine olanak tanır. Wireshark, ağ trafiği analizini derinlemesine yaparak, farklı saldırı türlerinin izini sürmenize yardımcı olabilir. Ağ trafiğinde anormal davranışlar veya zararlı aktiviteler tespit etmek, herhangi bir güvenlik ihlalini hızlıca önlemek için son derece önemlidir.
Wireshark ile, ağ trafiğini izlerken saldırıların erken tespiti için bazı teknikler kullanabilirsiniz. Özellikle ARP Spoofing ve DNS Poisoning gibi ağ tabanlı saldırıları belirlemek için Wireshark çok güçlü bir araçtır. Şimdi, bu tür saldırıların nasıl tespit edilebileceğine göz atalım.
- ARP Spoofing (ARP Cache Poisoning) Tespiti:
ARP (Address Resolution Protocol) spoofing saldırıları, ağdaki cihazlar arasında veri trafiğinin yönlendirilmesi amacıyla kullanılan yaygın bir tekniktir. Saldırgan, sahte ARP yanıtları göndererek ağdaki cihazları yanlış yönlendirir ve trafiği kendi cihazı üzerinden geçirir. Bu tür saldırılar genellikle “Man-in-the-Middle” (MitM) saldırılarının temelini oluşturur.
Wireshark ile ARP spoofing saldırılarını tespit etmek için şunlara dikkat edebilirsiniz:
ARP paketlerini analiz etmek: arp
Bu filtre, ağda geçen tüm ARP paketlerini gösterir. ARP spoofing saldırısının izini sürmek için ağdaki IP adreslerine ait birden fazla MAC adresi görmeniz olağandır. Eğer bir IP adresi birden fazla MAC adresi ile eşleşiyorsa, bu durum ARP spoofing saldırısının bir göstergesi olabilir.
Çift IP-MAC eşleşmesi:
Wireshark üzerinde, aynı IP adresine ait birden fazla MAC adresinin tespit edilmesi, ARP spoofing saldırısının belirtisi olabilir. Bu tür durumlar, şüpheli trafiği incelemenizi ve saldırganın varlığını doğrulamanızı sağlar.
- DNS Poisoning Tespiti:
DNS poisoning, saldırganların ağdaki DNS sunucusunu manipüle ederek kullanıcıları zararlı sitelere yönlendirdiği bir saldırı türüdür. Bu saldırılar, kullanıcıların gittiği web sitelerinin doğru olup olmadığını kontrol etmesini engeller ve kötü amaçlı yazılımların dağıtılmasına olanak tanır.
Wireshark ile DNS poisoning tespiti yapmak için, DNS trafiğini dikkatlice izlemek önemlidir. DNS paketi üzerinden yapılan değişiklikler, DNS poisoning saldırılarının işaretleri olabilir.
DNS trafiğini izlemek: dns
Bu filtre, ağda gerçekleşen tüm DNS sorgularını ve yanıtlarını gösterir. DNS poisoning saldırısını tespit etmek için, DNS yanıtlarının IP adreslerinin doğru olup olmadığını kontrol edebilirsiniz. Sahte yanıtlar genellikle doğru olmayan IP adreslerini içerir ve bu durum saldırının bir işareti olabilir.
Şüpheli DNS yanıtları:
Özellikle bilinmeyen veya şüpheli IP adreslerine yapılan DNS yönlendirmeleri, DNS poisoning’in tipik bir belirtisidir. Wireshark ile bu tür anormal DNS yanıtlarını hızla tespit edebilirsiniz. Wireshark ile ağ trafiğini analiz ederek bu tür saldırıları tespit etmek, güvenlik önlemlerinizi güçlendirebilir ve potansiyel tehditleri zamanında engelleyebilirsiniz. Ağ üzerindeki her türlü anormal etkinlik, doğru filtreleme teknikleriyle izlenebilir ve değerlendirilebilir.
Gerçek Zamanlı İzleme ve Loglama
Ağ güvenliği, yalnızca saldırıları tespit etmekle kalmaz, aynı zamanda gerçek zamanlı izleme ve loglama ile ağ trafiğini sürekli olarak izlemeyi de içerir. Gerçek zamanlı izleme, ağınızdaki anormal aktiviteleri hemen fark etmenizi sağlar ve güvenlik açıklarını daha hızlı tespit ederek müdahale etmenize olanak tanır. Wireshark, bu süreçte oldukça etkili bir araçtır çünkü ağ trafiğini sürekli olarak izler ve kaydeder, bu da potansiyel tehditlere karşı hızlı bir yanıt almanızı sağlar.
Wireshark ile ağ trafiğini gerçek zamanlı olarak izlerken ve loglarken, özellikle saldırılara karşı erken uyarılar almak ve ağ performansını değerlendirmek mümkündür. Ayrıca, ağdaki herhangi bir problem veya olağan dışı durum hakkında ayrıntılı raporlar almak için Wireshark’taki loglama özelliklerinden faydalanabilirsiniz.
- PCAP Kaydetme:
Wireshark ile ağ trafiğini izlerken, verilerin kaydedilmesi ve daha sonra analiz edilmesi için PCAP (Packet Capture) dosyaları oluşturabilirsiniz. Bu dosyalar, ağdaki tüm veri paketlerini içerir ve daha sonra tekrar analiz edilebilir. Bu sayede, geçmiş veriler üzerinde çalışarak, şüpheli aktivitelerin nedenini araştırabilir ve çözüm yolları geliştirebilirsiniz.
PCAP Dosyası Kaydetme:
Wireshark’ta ağ trafiğini kaydetmek için, “Capture” menüsünden “Start” butonuna tıklayarak ağ trafiğini yakalayabilir ve ardından File > Save As seçeneğiyle PCAP formatında kaydedebilirsiniz. Bu dosyalar, diğer ağ analiz araçları ile de açılabilir ve detaylı bir inceleme yapılabilir.
Filtreleme ve Kaydetme:
Ağ trafiğini yalnızca ilgilendiğiniz filtrelere göre kaydedebilirsiniz. Örneğin, yalnızca HTTP trafiği üzerinden veri kaydetmek istiyorsanız, ilgili filtreyi uygulayarak sadece o trafiği yakalayabilirsiniz. Bu, kaydedeceğiniz dosyanın boyutunu küçültür ve yalnızca önemli veriyi toplamanıza yardımcı olur.
- Otomatik Raporlama:
Gerçek zamanlı izleme sırasında, ağ trafiğinin sürekli olarak kaydedilmesi ve analiz edilmesi gereklidir. Wireshark, veri paketlerinin yakalanmasını ve analiz edilmesini otomatikleştirebilirsiniz. Otomatik raporlama, ağda gerçekleşen önemli olaylar hakkında bilgilendirilmenizi sağlar ve ağ trafiğinde bir problem tespit edilirse hemen müdahale etmenize olanak tanır.
Wireshark ile Raporlama:
Wireshark, yakalanan verilerin analizini hızlıca yaparak size özet raporlar sunabilir. Bu raporlar, ağdaki anormal aktiviteleri, trafiğin yoğun olduğu saatleri, kullanılan protokolleri ve daha fazlasını içerebilir.
Log Dosyaları ve Otomatik Analiz:
Wireshark, kaydedilen PCAP dosyalarını sürekli olarak analiz edebilir ve bu analizlerden elde edilen sonuçları belirli aralıklarla otomatik olarak raporlayabilir. Bu, güvenlik uzmanlarına, ağdaki şüpheli aktiviteleri hızla bildiren bir sistem sağlar. Loglar, ayrıca daha sonraki analizler için referans noktası oluşturur.
- Gerçek Zamanlı İzleme ve Alarm Sistemi:
Gerçek zamanlı izleme yaparken, Wireshark’ı alarm sistemiyle entegre edebilirsiniz. Ağdaki şüpheli bir aktiviteyi tespit ettiğinizde, Wireshark size anında alarm verebilir. Bu, güvenlik uzmanlarının, özellikle kritik altyapılarda, ağın her anını gözlemleyerek saldırılara karşı önlem almasını sağlar.
Protokol Tabanlı Alarmlar:
Wireshark, ağdaki protokollere dayalı alarmlar oluşturmanıza olanak tanır. Örneğin, belirli bir port üzerinden şüpheli bir trafik gözlemlendiğinde, bu durum alarm verilmesi için bir tetikleyici olabilir. Gerçek zamanlı izleme ve loglama, ağ trafiği analizi için kritik öneme sahiptir. Wireshark, bu süreçte kullanıcılara güçlü bir altyapı sağlar. Ağdaki tüm aktiviteleri izleyebilir, kayıt altına alabilir ve şüpheli davranışları anında tespit edebilirsiniz. Ayrıca, bu verilerin raporlanması, ağdaki potansiyel tehditleri anlamak ve güvenlik önlemlerini geliştirmek için çok önemli bir adımdır.
PCAP Kaydetme, Otomatik Raporlama
Ağ trafiği analizi yaparken, verilerin kaydedilmesi ve raporlanması olay sonrası incelemeler için oldukça önemlidir. Wireshark, ağ trafiğini kaydedip sonrasında otomatik raporlar oluşturmanızı sağlayarak ağınızdaki anormal aktiviteleri hızlıca tespit etmenize yardımcı olur.
PCAP Kaydetme:
PCAP (Packet Capture) dosyaları, ağ trafiğini kaydetmek için kullanılan dosya formatıdır. Wireshark, ağdaki tüm paketleri PCAP formatında kaydedebilir. Bu dosyalar daha sonra analiz edilebilir ve diğer ağ analiz araçlarıyla uyumludur.
PCAP Dosyası Kaydetme:
“Capture” menüsünden “Start” seçeneği ile ağ trafiğini yakalayın ve File > Save As ile kaydedin.
Filtreler ile PCAP Kaydetme:
Filtreleme yaparak yalnızca ilginç veriyi kaydedebilirsiniz. Örneğin, yalnızca HTTP trafiğini kaydetmek için şu filtreyi kullanabilirsiniz:
tcp.port == 80
Otomatik Raporlama:
Wireshark, kaydedilen ağ trafiğini analiz ederken otomatik raporlar oluşturabilir. Bu raporlar, ağ trafiği hakkında özet bilgiler sunar ve potansiyel tehditlerin hızlıca tespit edilmesini sağlar.
Raporlama:
Wireshark’ın “Statistics” menüsünden, ağ trafiğini analiz edebilir ve hangi protokollerin yoğun kullanıldığını gösteren raporlar alabilirsiniz. Örneğin, “Protocol Hierarchy” raporu ağınızdaki protokollerin kullanım oranını gösterir.
Özet Raporlar ve Uyarılar:
Wireshark, anormal durumlar hakkında uyarılar gönderir. Bu, ağınızdaki saldırılara hızlı müdahale etmenizi sağlar.
Veri Kayıtları ve Loglama:
Wireshark, ağ trafiğini sadece kaydetmekle kalmaz, aynı zamanda loglar şeklinde saklar. Log dosyaları, ağdaki tüm aktiviteleri detaylı şekilde kaydeder ve güvenlik olaylarını incelemenize olanak tanır.
Wireshark, ağ trafiği analizi ve saldırı tespiti konusunda güçlü bir araçtır. Temel filtreleme tekniklerinden, ARP Spoofing ve DNS Poisoning gibi saldırıların tespitine kadar, Wireshark ile ağ trafiğini detaylı bir şekilde incelemek mümkündür. Ayrıca, gerçek zamanlı izleme ve loglama özellikleri sayesinde, ağdaki her türlü anormal aktivite hızla tespit edilebilir ve müdahale edilebilir. PCAP kaydetme ve otomatik raporlama gibi özellikler ise güvenlik uzmanlarına, ağ güvenliğini sağlama konusunda önemli bir avantaj sunar.
Eğer Wireshark ve ağ güvenliği hakkında daha derinlemesine bilgi edinmek ve profesyonel bir eğitim almak isterseniz, Bilişim Academy Siber Güvenlik Eğitimleri ile alanında uzman eğitmenlerden eğitim alabilirsiniz. Bu eğitimler, size ağ trafiği analizi ve siber güvenlik konusunda kapsamlı bilgi ve yetkinlik kazandıracaktır.
